CISA KEV 警告 26/05/21:Langflow の脆弱性 CVE-2025-34291 を KEV に登録

CISA Adds Langflow Origin Validation Flaw to Known Exploited Vulnerabilities Catalog

2026/05/22 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Langflow の深刻な脆弱性 CVE-2025-34291 を Known Exploited Vulnerabilities (KEV) カタログに追加し、実環境での悪用リスクを強調するとともに即時対応を求めている。この脆弱性は、AI 駆動ワークフローの構築とオーケストレーションに使用される、Langflow のオリジン検証の欠陥に起因する。

CISA によると、この問題は過度に許可された Cross-Origin Resource Sharing (CORS) コンフィグと不適切な Cookie 設定の組み合わせにより発生する。具体的には、このアプリケーションでは “SameSite=None” に設定されたリフレッシュトークン Cookie が使用されており、クロスオリジン・リクエストでの送信が可能となっている。

Langflow オリジン検証欠陥

この脆弱性は CWE-346 (オリジン検証エラー) に分類され、ドメイン間の信頼境界の悪用を攻撃者に許すものである。

このミスコンフィグを突く攻撃者は、悪意の Web ページを介して、ユーザーの認証情報を取り込んだクロスオリジン・リクエストを送信できる。

主な技術的要素は以下の通りである。

  • 不適切なオリジン検証により、未許可ドメインとバックエンド・サービスとの間の通信が可能となる。
  • CORS ポリシーが過度に許可され、信頼済みオリジンの制限が不十分になる。
  • “SameSite=None” の Cookie にリフレッシュ・トークンが格納され、クロスサイト・リクエストでの悪用が可能となる。
  • 攻撃者はリフレッシュ・エンドポイントを呼び出し、有効な認証トークンの取得を可能にする。

これらのトークンを取得した攻撃者は、認証済みのエンドポイントへのアクセスを達成し、状況によってはシステム内で任意コード実行が可能となる。これにより、侵害アカウントの権限に応じた、完全なシステム侵害に至る可能性がある。

この脆弱性とランサムウェア攻撃の関連性について、CISA は明らかにしていないが、KEV カタログへの追加は実際の悪用を示している。認証回避およびトークン窃取に関連する脆弱性は、ラテラル・ムーブメントや永続化といった、侵害後のフェーズで頻繁に悪用される。

攻撃が成功した場合には、以下が可能になる。

  • ユーザーセッションの乗っ取り
  • 機密性の高いワークフローおよびデータへのアクセス
  • Langflow 環境内での不正操作の実行
  • 権限昇格および基盤インフラへの侵害

Binding Operational Directive (BOD) 22-01 に基づき、CISA は 連邦機関に対して 2026年06月04日までの対応を義務付けている。Langflow を使用する民間組織も即時対応が必要となっている。

推奨される対策は以下の通りである。

  • ベンダー提供のセキュリティ・パッチまたは更新を適用する。
  • CORS ポリシーを信頼済みオリジンのみに制限する。
  • SameSite=Strict または Lax などの安全な Cookie 属性を設定する。
  • 認証およびトークン管理の実装を見直す。
  • クロスオリジン・リクエストおよびトークン悪用の監視を強化する。

パッチや緩和策が存在しない場合に CISA が推奨するのは、影響を受けるシステムの使用停止である。

この脆弱性が示すのは、現代の Web アプリケーションにおける認証トークンの、CORS ミスコンフィグによるリスク増大である。攻撃者が信頼境界を標的とする中、厳格なオリジン検証およびセッション管理が不可欠である。

脆弱性 CVE-2025-34291 の KEV カタログ追加は、Web セキュリティ・コンフィグの監査および、迅速な対応の必要性を強く示している。

訳者後書:この Langflow の脆弱性 CVE-2025-34291 の原因は、 オリジン検証エラーと呼ばれるドメイン間の信頼境界の検証不備と、不適切なコンフィグの組み合わせにあります。 具体的に言うと、異なるドメインからのアクセスを過剰に許可する CORS ミスコンフィグに加え、リフレッシュ・トークンを格納する Cookie の属性がクロスサイトでの送信を許す状態になっています。このギャップを突かれると、悪意の Web ページを経由してユーザーの認証情報が勝手に送信され、トークンが窃取されてしまいます。その結果、アカウントの乗っ取りや、認証を回避した不正なコード実行を招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。